vCISO vs. ISB: Unterschiede, Kosten und Einsatzprofile
vCISO oder ISB? Aufgaben, Kosten und Einsatzprofile im direkten Vergleich – Entscheidungshilfe für den Mittelstand.
Mittelständische Unternehmen, die ihre Informationssicherheit professionell aufstellen wollen – sei es aus eigenem Antrieb, wegen NIS-2, ISO 27001 oder den Anforderungen von Kunden und Versicherern – stehen regelmäßig vor der Frage: Brauchen wir einen ISB, einen CISO oder beides? Und muss die Rolle intern besetzt werden, oder reicht ein externer Dienstleister?
Die Antwort hängt weniger vom Titel ab als von den konkreten Aufgaben, die abgedeckt werden müssen. Dieser Artikel vergleicht die beiden gängigsten externen Modelle – den virtuellen CISO (vCISO) und den externen Informationssicherheitsbeauftragten (ISB) – und zeigt, für welches Unternehmensprofil welches Modell geeignet ist.
ISB und CISO: Was ist der Unterschied?
Die Begriffe werden in der Praxis häufig synonym verwendet, bezeichnen aber unterschiedliche Rollen mit verschiedenem Fokus.
Der Informationssicherheitsbeauftragte (ISB)
Der ISB ist die operative Schlüsselrolle im Informationssicherheitsmanagement. Er ist verantwortlich für den Aufbau, den Betrieb und die Weiterentwicklung des ISMS. Seine Kernaufgaben umfassen die Erstellung und Pflege von Sicherheitsrichtlinien und Konzepten, die Durchführung von Risikoanalysen und internen Audits, die Koordination von Sicherheitsmaßnahmen mit IT und Fachabteilungen, die Sensibilisierung und Schulung der Mitarbeitenden, die Begleitung externer Audits (ISO 27001, BSI-Grundschutz) sowie das Incident Management und die Meldepflichten.
Der ISB arbeitet „im" ISMS – er kümmert sich um die tägliche Umsetzung und hält das System am Laufen. Mehr zu den konkreten Aufgaben eines externen ISB finden Sie in unserem Fachartikel.
Der Chief Information Security Officer (CISO)
Der CISO agiert auf Management- oder C-Level-Ebene. Er verantwortet die Informationssicherheitsstrategie des Unternehmens und ist typischerweise direkt der Geschäftsführung unterstellt. Seine Kernaufgaben umfassen die Entwicklung und Abstimmung der Sicherheitsstrategie mit der Geschäftsstrategie, das Reporting an Geschäftsführung und Aufsichtsgremien, die Budgetverantwortung für Informationssicherheit, die Bewertung strategischer Risiken (M&A, Cloud-Strategie, Lieferkette), das Krisenmanagement bei schwerwiegenden Vorfällen sowie die Vertretung des Unternehmens gegenüber Regulierungsbehörden.
Der CISO arbeitet „über" dem ISMS – er gibt die Richtung vor und stellt sicher, dass Informationssicherheit ein Thema auf Geschäftsleitungsebene ist. Details zur strategischen Rolle finden Sie im Artikel zum externen CISO.
vCISO und externer ISB im Vergleich
Beide Rollen lassen sich extern besetzen. Die folgende Gegenüberstellung zeigt die wesentlichen Unterschiede:
| Dimension | Externer ISB | vCISO (Virtual CISO) |
|---|---|---|
| Fokus | Operativ: ISMS-Aufbau und -Betrieb | Strategisch: Sicherheitsstrategie und Governance |
| Berichtslinie | IT-Leitung oder Geschäftsführung | Direkt an Geschäftsführung / Vorstand |
| Typischer Umfang | 2–6 Tage pro Monat | 2–4 Tage pro Monat |
| Zeithorizont | Langfristig (Dauermandat) | Langfristig oder projektbezogen |
| Aufgabenprofil | Richtlinien, Risikoanalyse, Audits, Schulungen | Strategie, Board-Reporting, Krisenmanagement |
| Regulatorischer Bezug | ISO 27001, BSI-Grundschutz, NIS-2 (§ 30) | NIS-2 (§ 38 Geschäftsführerhaftung), DORA |
| Typische Kosten | 1.400 – 3.500 € / Monat | 3.000 – 8.000 € / Monat |
| Typische Unternehmensgrößen | 20 – 500 Mitarbeiter | 100 – 2.000 Mitarbeiter |
| Branchenrelevanz | Alle Branchen | Besonders regulierte Branchen (Finanzen, Gesundheit, KRITIS) |
Wann ein externer ISB die richtige Wahl ist
Ein externer ISB ist das richtige Modell, wenn Ihr Unternehmen primär operative Umsetzungskapazität braucht. Das trifft typischerweise zu, wenn erstmals ein ISMS nach ISO 27001 oder BSI-Grundschutz aufgebaut werden soll, wenn NIS-2-Mindestmaßnahmen nach § 30 BSIG umgesetzt werden müssen, wenn keine interne Kompetenz für Informationssicherheit vorhanden ist, wenn ein Ansprechpartner für IT-Sicherheit gegenüber Kunden und Auditoren benötigt wird oder wenn das Budget für eine interne Vollzeitstelle nicht ausreicht.
Praxisbeispiel: Ein mittelständischer Maschinenbauer mit 80 Mitarbeitern fällt unter NIS-2 (Sektor 16: Verarbeitendes Gewerbe). Er hat bisher keine strukturierte Informationssicherheit, benötigt ein ISMS für die Compliance und will sich mittelfristig nach ISO 27001 zertifizieren lassen. Ein externer ISB baut das ISMS auf, führt die Risikoanalyse durch und bereitet das Unternehmen auf die Zertifizierung vor – typischerweise 3–4 Tage pro Monat über 12–18 Monate.
Mehr zur wirtschaftlichen Umsetzung für KMU im Artikel NIS-2 für KMU.
Wann ein vCISO die richtige Wahl ist
Ein vCISO ist das richtige Modell, wenn Ihr Unternehmen strategische Steuerung auf C-Level-Niveau braucht, ohne eine Vollzeit-CISO-Stelle zu besetzen. Das trifft typischerweise zu, wenn die Geschäftsführung einen kompetenten Sparringspartner für Sicherheitsfragen braucht, wenn Board-Reporting und Investorenberichte zur Informationssicherheit gefordert sind, wenn das Unternehmen vor strategischen Entscheidungen steht (Cloud-Migration, M&A, Internationalisierung), wenn die NIS-2-Geschäftsführerhaftung nach § 38 BSIG ein persönliches Risiko für die Geschäftsleitung darstellt oder wenn ein ISMS bereits existiert und operativ durch die IT betrieben wird, aber strategische Führung fehlt.
Praxisbeispiel: Ein Finanzdienstleister mit 200 Mitarbeitern hat bereits ein ISMS und einen internen IT-Sicherheitsverantwortlichen. Die BaFin erwartet zunehmend Nachweise zur Governance, Investoren fragen nach dem Sicherheitsniveau, und die Geschäftsführung will ihre persönliche Haftung unter NIS-2 absichern. Ein vCISO liefert die strategische Steuerung: Er definiert die Sicherheitsstrategie, erstellt quartalsweise Board-Reports und berät bei M&A-Transaktionen zu Informationssicherheitsrisiken – typischerweise 2–3 Tage pro Monat.
Details zur persönlichen Haftung finden Sie im Artikel NIS-2 Bußgeld und Haftung für Geschäftsführer.
Das kombinierte Modell: vCISO + ISB
In der Praxis ist die Kombination beider Rollen häufig die effizienteste Lösung. Der vCISO definiert die Strategie und hält den Kontakt zur Geschäftsführung, während der ISB die operative Umsetzung sicherstellt. Diese Arbeitsteilung funktioniert besonders gut, wenn der vCISO wenige Tage pro Monat die Leitplanken setzt und der ISB die tägliche ISMS-Arbeit übernimmt.
Beide Rollen können vom selben Dienstleister besetzt werden, was die Abstimmung vereinfacht und Reibungsverluste reduziert. Alternativ kann der ISB intern besetzt sein, während der vCISO extern die strategische Perspektive einbringt.
Entscheidungsmatrix: Welches Modell für welches Profil?
| Unternehmenssituation | Empfohlenes Modell |
|---|---|
| Kein ISMS, kein Sicherheitspersonal, NIS-2/ISO-27001-Bedarf | Externer ISB |
| Grundlegendes ISMS vorhanden, fehlende strategische Führung | vCISO |
| Wachsendes Unternehmen, Erstaufbau + Board-Reporting | vCISO + externer ISB kombiniert |
| Bestehendes ISMS, interner ISB, regulatorischer Druck steigt | vCISO als Ergänzung |
| Kleine Organisation (< 50 MA), begrenztes Budget | Externer ISB (Minimalmodell) |
| Regulierte Branche (Finanzen, KRITIS, Gesundheit) | vCISO + ISB (intern oder extern) |
Kostentransparenz: Was beide Modelle kosten
Die Kosten beider Modelle sind im Vergleich zu einer internen Vollzeitstelle erheblich niedriger. Ein interner CISO kostet im Mittelstand zwischen 100.000 € und 160.000 € Jahresgehalt (brutto, ohne Nebenkosten), ein interner ISB zwischen 65.000 € und 95.000 €. Externe Modelle bieten spezialisierte Expertise bei planbaren Kosten.
| Modell | Monatliche Kosten | Jahreskosten | Enthalten |
|---|---|---|---|
| Externer ISB (2 Tage/Monat) | ab 1.400 € | ab 16.800 € | ISMS-Betrieb, Risikoanalyse, Audits |
| Externer ISB (4 Tage/Monat) | ab 2.800 € | ab 33.600 € | + ISMS-Aufbau, Zertifizierungsvorbereitung |
| vCISO (2 Tage/Monat) | ab 3.000 € | ab 36.000 € | Strategie, Board-Reporting, Governance |
| vCISO + ISB kombiniert | ab 4.400 € | ab 52.800 € | Vollständige Abdeckung |
| Interner CISO (Vollzeit) | – | 130.000 – 200.000 € | Gehalt + Nebenkosten + Weiterbildung |
Detaillierte Kostenaufschlüsselung finden Sie im Artikel Externer ISB Kosten.
Interner oder externer ISB?
Neben der Frage vCISO oder ISB steht oft die Überlegung: intern oder extern besetzen? Beide Varianten haben Vor- und Nachteile. Ein interner ISB bietet vollständige Verfügbarkeit und tiefe Kenntnis der Organisation, verursacht aber hohe Fixkosten und Abhängigkeit von einer Person. Ein externer ISB bringt breite Erfahrung aus vielen Projekten, flexible Skalierbarkeit und planbare Kosten, hat aber begrenzte Verfügbarkeit.
Eine ausführliche Entscheidungshilfe mit Kostenvergleich und Kriterienkatalog bietet der Artikel ISB einstellen oder extern vergeben?.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen CISO und ISB?
Der CISO (Chief Information Security Officer) agiert strategisch auf C-Level: Sicherheitsstrategie, Board-Reporting, Budgetverantwortung. Der ISB (Informationssicherheitsbeauftragter) arbeitet operativ: ISMS-Aufbau, Risikoanalysen, Audits, Schulungen. Der CISO arbeitet ‘über’ dem ISMS, der ISB ‘im’ ISMS.
Was kostet ein vCISO im Vergleich zu einem externen ISB?
vCISO: 3.000–8.000 € monatlich (2-4 Tage/Monat) für strategische Steuerung. Externer ISB: 1.400–3.500 € monatlich (2-6 Tage/Monat) für operative ISMS-Arbeit. Kombination: ab 4.400 € monatlich. Zum Vergleich: Interner CISO kostet 130.000–200.000 € jährlich (Vollzeit).
Brauche ich einen vCISO oder einen externen ISB?
Externer ISB: Wenn Sie ISMS aufbauen müssen (ISO 27001, NIS-2) und operative Umsetzungskraft brauchen. vCISO: Wenn Sie strategische Steuerung auf C-Level benötigen (Board-Reporting, M&A-Beratung). Kombination: Für wachsende Unternehmen mit Compliance-Druck oft beste Lösung.
Kann dieselbe Person vCISO und ISB sein?
Ja, beide Rollen können vom selben Dienstleister besetzt werden. In der Praxis trennt man die Aufgaben aber zeitlich: Der vCISO setzt wenige Tage pro Monat die Strategie, der ISB übernimmt die tägliche Umsetzung. Das reduziert Abstimmungsaufwand und Reibungsverluste.
Fazit: Der Titel ist zweitrangig – die Aufgaben zählen
Die Unterscheidung zwischen vCISO und externem ISB ist keine Frage des Titels, sondern des Aufgabenprofils. Unternehmen, die primär operative Umsetzungskraft brauchen, sind mit einem externen ISB gut beraten. Unternehmen, die strategische Steuerung und C-Level-Kommunikation benötigen, profitieren von einem vCISO. Und für viele mittelständische Unternehmen – insbesondere solche, die unter NIS-2 fallen und sich parallel nach ISO 27001 zertifizieren lassen – ist die Kombination beider Rollen der effizienteste Weg.
Welches Modell passt zu Ihnen?
Wenn Sie unsicher sind, welches Modell zu Ihrem Unternehmen passt, starten wir mit einer Bestandsaufnahme Ihrer aktuellen Situation. Auf dieser Basis empfehlen wir das passende Modell – ob vCISO, externer ISB oder eine Kombination.
- vCISO-Beratung: Strategische Sicherheitsführung auf C-Level
- Externer ISB: Operative ISMS-Betreuung ab 1.400 €/Monat
- Erstgespräch: Unverbindliche Bedarfsanalyse buchen
Quellen
- BSI-Standard 200-2: IT-Grundschutz-Methodik, Kapitel 4.1 „Übernahme von Verantwortung durch die Leitungsebene"
- ISO/IEC 27001:2022, Abschnitt 5.3 „Rollen, Verantwortlichkeiten und Befugnisse der Organisation"
- BSI-Gesetz (BSIG), § 38 „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen"
- NIST Cybersecurity Framework 2.0, Govern Function (GV): Organizational Context, Risk Management Strategy
vCISO Bedarfsanalyse
10-Fragen-Check: Brauchen Sie einen vCISO oder reicht ein ISB? Entscheidungshilfe für die richtige Security-Besetzung.
Sie erhalten die Unterlagen per E-Mail. Kein Spam, jederzeit abbestellbar. Details in der Datenschutzerklärung.
- Sofort per E-Mail
- Praxiserprobte Vorlage
- Jederzeit abbestellbar